慢霧：WalletConnect使用不當或存在釣魚攻擊風險

BlockBeats 消息，4 月 18 日，慢霧安全團隊於 2023 年 1 月 30 日發現 Web3 錢包上關於 WalletConnect 使用不當可能存在被釣魚的安全風險問題。這個問題存在於使用行動端錢包 App 內置的 DApp Browser + WalletConnect 的場景下。 部分 Web3 錢包在提供 WalletConnect 支持的時候，沒有對 WalletConnect 的交易彈窗要在哪個區域彈出進行限制，因此會在錢包的任意界面彈出簽名請求。當用戶離開 DApp Browser 界面切換到錢包其他界面如示例中的 Wallet、Discover 等界面，由於錢包為了不影響用戶體驗和避免重複授權，此時 Wallet Connect 的連接是沒有斷開的，但是此時用戶卻可能因為惡意 DApp 突然發起的簽名請求彈窗而誤操作導致被釣魚轉移走資產。 這個安全問題的核心是用戶切換 DApp Browser 界面到其他界面後，是否應繼續自動彈窗響應來自 DApp Browser 界面的請求，尤其是敏感操作請求。因為跨界面後盲目彈窗響應很容易導致用戶的誤操作。 其中涉及到一個安全原則：WalletConnect 連接後，錢包在檢測到用戶切換 DApp Browser 界面到其他界面後，應該對來自 DApp Browser 的彈窗請求不進行處理。

原文連結